VSEC đưa ra cảnh báo lỗ hổng bảo mật nguy hiểm trên Jenkins

VSEC đưa ra cảnh báo lỗ hổng bảo mật nguy hiểm trên Jenkins
Tạp chí Nhịp sống số - Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật vô cùng nghiêm trọng trên ứng dụng Jenkins - có thể ảnh hưởng đến nhiều doanh nghiệp Việt Nam.

Lỗ hổng bảo mật trên Jenkins có thể ảnh hưởng đến nhiều doanh nghiệp Việt

Khi khai thác thành công lỗi này thì tin tặc (hacker) có thể xâm nhập dữ liệu quan trọng của người dùng, từ đó tạo tiền đề chiếm quyền điều khiển hệ thống. Lỗ hổng đạt mức độ nghiêm trọng lên đến 9,4/10 theo thang điểm CVSS 3.1.

Lỗ hổng bắt đầu xuất hiện từ phiên bản Jetty 9.4.27 - phiên bản bổ sung cơ chế xử lý nhiều request đến hệ thống cùng lúc gây lỗi tràn bộ đệm khiến ứng dụng bị lỗi, vì thế phiên bản này được nhiều nhà phát triển ứng dụng sử dụng.

Khác với những phiên bản trước, Jetty 9.4.27 hoạt động với cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ. Nhưng cơ chế này lại vô tình tạo ra một lỗi không mong muốn, đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm.

Với lỗ hổng nguy hiểm này, các hacker có thể thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật, thậm chí chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Hiện tại lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đánh giá mức độ theo NIST: Critical - 9.4 (Nghiêm trọng) .

Theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên internet.

Do mức độ nghiêm trọng của lỗ hổng, VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

Có thể bạn quan tâm